Tweet
🔥tiết kiệm ip public tối đa bằng cấu hình pat
🔥TIẾT KIỆM IP PUBLIC TỐI ĐA BẰNG CẤU HÌNH PAT
Hãy tưởng tượng doanh nghiệp của bạn có 500 nhân sự hoạt động liên tục, ai cũng cần truy cập Internet để làm việc. Tuy nhiên, nhà mạng ISP chỉ cấp cho công ty bạn duy nhất một địa chỉ IP Public. Nếu sử dụng Static NAT, bạn chỉ cho phép được đúng 1 máy ra ngoài. Nếu dùng Dynamic NAT với bể chứa (Pool) gồm 1 IP, tại một thời điểm cũng chỉ có duy nhất 1 người được duyệt web. Vậy làm thế nào để 500 con người đó có thể "vượt rào" ra Internet cùng một lúc mà không làm nghẽn hệ thống?
Chìa khóa vàng ở đây chính là PAT (Port Address Translation), hay còn được gọi bằng cái tên thân thương là NAT Overload. Bằng cách thao túng các chỉ số cổng dịch vụ (Port Numbers), PAT cho phép hàng ngàn thiết bị nội bộ dùng chung một địa chỉ IP Public duy nhất để kết nối ra thế giới bên ngoài.
Hôm nay, chúng ta cùng giải thuật và cấu hình thực chiến tính năng này trên Cisco IOS nhé!
1. MÔ HÌNH TOPO VÀ CHUẨN BỊ THIẾT BỊ
Để minh họa, tài liệu sử dụng một mô hình Lab tiêu chuẩn bao gồm:
Trước tiên, chúng ta khai báo ranh giới Inside và Outside trên Router NAT: NAT(config)# interface fastEthernet 0/0 NAT(config-if)# ip nat inside NAT(config)# interface fastEthernet 1/0 NAT(config-if)# ip nat outside
2. TIẾN TRÌNH CẤU HÌNH PAT THEO 2 CÁCH THỰC CHIẾN
Tùy thuộc vào việc doanh nghiệp của bạn sở hữu một IP Public tĩnh trên cổng hay sở hữu một dải IP Public dôi dư, tài liệu vạch ra 2 cách cấu hình PAT như sau:
Cách 1: Cấu hình PAT trực tiếp đè lên Interface cổng WAN (Phổ biến nhất)
Cách này áp dụng khi bạn chỉ có duy nhất một IP Public cấp động hoặc tĩnh nằm ngay trên cổng FastEthernet 1/0 nối ra ngoài của Router.
Bước 1: Tạo một Access List (ACL) để định nghĩa dải mạng Inside nào trong LAN được phép NAT ra ngoài: NAT(config)# access-list 1 permit 192.168.123.0 0.0.0.255
Bước 2: Viết câu lệnh NAT quyết định. Điểm mấu chốt là từ khóa overload ở cuối dòng lệnh: NAT(config)# ip nat inside source list 1 interface fastEthernet 1/0 overload
Cách 2: Cấu hình PAT thông qua một "Bể chứa" IP (NAT Pool)
Cách này sử dụng khi bạn có một nhóm nhỏ gồm vài IP Public (ví dụ một block IP thuê từ ISP) và muốn các máy trạm LAN luân phiên sử dụng nhóm IP này kết hợp với Port.
Bước 1: Khởi tạo Pool chứa dải IP Public (Ví dụ dải từ .10 đến .20): NAT(config)# ip nat pool MYPOOL 192.168.23.10 192.168.23.20 netmask 255.255.255.0
Bước 2: Ánh xạ ACL vào Pool và kích hoạt chế độ Port bằng từ khóa overload: NAT(config)# ip nat inside source list 1 pool MYPOOL overload
3. VÍ DỤ GIẢI THÍCH BẢN CHẤT HOẠT ĐỘNG CỦA THUẬT TOÁN
Để anh em dễ giảng giải cho cấp dưới hoặc học viên, hãy nhìn vào bản chất luồng đi của gói tin khi Host1 và Host2 đồng thời truy cập Web1 Server:
Khi hai gói tin này đi qua Router NAT ra ngoài Internet thông qua cách cấu hình số 1, Router sẽ thực hiện "thao túng" như sau:
Nhờ cơ chế theo dõi Port độc lập này, khi Web1 Server phản hồi dữ liệu về cho IP 192.168.23.2, Router NAT chỉ cần nhìn vào số Port đích (1024 hay 1025) để trả gói tin về chính xác cho Host1 hoặc Host2 bên trong mạng LAN mà không bao giờ bị nhầm lẫn dữ liệu!
4. XÁC MINH VÀ GIÁM SÁT BẢNG TUẦN TRA NAT (VERIFICATION)
Sau khi Host1 và Host2 thực hiện lệnh ping hoặc truy cập dịch vụ thành công tới Web1 Server, chúng ta thực hiện kiểm tra bảng biên dịch trên Router NAT bằng câu lệnh:
NAT# show ip nat translations
Phân tích kết quả hiển thị từ bảng dịch thực tế: Màn hình sẽ đổ ra các dòng trạng thái biên dịch chi tiết. Khác hoàn toàn với Static hay Dynamic NAT thông thường, các dòng hiển thị của PAT luôn đính kèm số hiệu cổng phía sau dấu hai chấm (:). Bạn sẽ thấy rõ các trường thông tin:
Sự xuất hiện của các cặp định danh IP:Port khác nhau trên cùng một địa chỉ Inside Global chính là minh chứng đanh thép cho thấy PAT đang vận hành hoàn hảo, giúp tối ưu hóa tài nguyên mạng của bạn.
🌟 LỜI KHUYÊN
Từ khóa overload chính là câu lệnh quyền lực nhất biến một cấu hình Dynamic NAT thông thường trở thành PAT nâng cao. Trong thực tế triển khai, hãy luôn ưu tiên Cách 1 (Sử dụng trực tiếp interface cổng WAN) vì nó giúp cấu hình của bạn không bị lỗi kể cả khi nhà mạng ISP thay đổi IP Public của cổng theo chu kỳ.
#VnPro#CCNA#CCNP#CCIE#PAT#PortAddressTranslation#NATOverload#CiscoIOS#NetworkServices#TrafficEngineering#RoutingAndSwitching
Hãy tưởng tượng doanh nghiệp của bạn có 500 nhân sự hoạt động liên tục, ai cũng cần truy cập Internet để làm việc. Tuy nhiên, nhà mạng ISP chỉ cấp cho công ty bạn duy nhất một địa chỉ IP Public. Nếu sử dụng Static NAT, bạn chỉ cho phép được đúng 1 máy ra ngoài. Nếu dùng Dynamic NAT với bể chứa (Pool) gồm 1 IP, tại một thời điểm cũng chỉ có duy nhất 1 người được duyệt web. Vậy làm thế nào để 500 con người đó có thể "vượt rào" ra Internet cùng một lúc mà không làm nghẽn hệ thống?
Chìa khóa vàng ở đây chính là PAT (Port Address Translation), hay còn được gọi bằng cái tên thân thương là NAT Overload. Bằng cách thao túng các chỉ số cổng dịch vụ (Port Numbers), PAT cho phép hàng ngàn thiết bị nội bộ dùng chung một địa chỉ IP Public duy nhất để kết nối ra thế giới bên ngoài.
Hôm nay, chúng ta cùng giải thuật và cấu hình thực chiến tính năng này trên Cisco IOS nhé!
1. MÔ HÌNH TOPO VÀ CHUẨN BỊ THIẾT BỊ
Để minh họa, tài liệu sử dụng một mô hình Lab tiêu chuẩn bao gồm:
- Host1 và Host2: Hai Router đóng vai trò làm máy trạm Client trong mạng LAN, được tắt tính năng định tuyến (no ip routing) và trỏ Default Gateway về Router trung tâm. Dải mạng LAN nội bộ sử dụng dải 192.168.123.0/24. Trong đó, Host1 có IP là 192.168.123.1, Host2 là 192.168.123.2.
- Router NAT: Thiết bị xử lý biên dịch chính. Cổng FastEthernet 0/0 (vùng INSIDE) kết nối mạng LAN với IP 192.168.123.3/24. Cổng FastEthernet 1/0 (vùng OUTSIDE) kết nối ra ngoài với IP 192.168.23.2/24.
- Web1 Server: Máy chủ đích ngoài Internet mà các máy trạm muốn truy cập, sở hữu IP 192.168.23.3/24.
Trước tiên, chúng ta khai báo ranh giới Inside và Outside trên Router NAT: NAT(config)# interface fastEthernet 0/0 NAT(config-if)# ip nat inside NAT(config)# interface fastEthernet 1/0 NAT(config-if)# ip nat outside
2. TIẾN TRÌNH CẤU HÌNH PAT THEO 2 CÁCH THỰC CHIẾN
Tùy thuộc vào việc doanh nghiệp của bạn sở hữu một IP Public tĩnh trên cổng hay sở hữu một dải IP Public dôi dư, tài liệu vạch ra 2 cách cấu hình PAT như sau:
Cách 1: Cấu hình PAT trực tiếp đè lên Interface cổng WAN (Phổ biến nhất)
Cách này áp dụng khi bạn chỉ có duy nhất một IP Public cấp động hoặc tĩnh nằm ngay trên cổng FastEthernet 1/0 nối ra ngoài của Router.
Bước 1: Tạo một Access List (ACL) để định nghĩa dải mạng Inside nào trong LAN được phép NAT ra ngoài: NAT(config)# access-list 1 permit 192.168.123.0 0.0.0.255
Bước 2: Viết câu lệnh NAT quyết định. Điểm mấu chốt là từ khóa overload ở cuối dòng lệnh: NAT(config)# ip nat inside source list 1 interface fastEthernet 1/0 overload
Cách 2: Cấu hình PAT thông qua một "Bể chứa" IP (NAT Pool)
Cách này sử dụng khi bạn có một nhóm nhỏ gồm vài IP Public (ví dụ một block IP thuê từ ISP) và muốn các máy trạm LAN luân phiên sử dụng nhóm IP này kết hợp với Port.
Bước 1: Khởi tạo Pool chứa dải IP Public (Ví dụ dải từ .10 đến .20): NAT(config)# ip nat pool MYPOOL 192.168.23.10 192.168.23.20 netmask 255.255.255.0
Bước 2: Ánh xạ ACL vào Pool và kích hoạt chế độ Port bằng từ khóa overload: NAT(config)# ip nat inside source list 1 pool MYPOOL overload
3. VÍ DỤ GIẢI THÍCH BẢN CHẤT HOẠT ĐỘNG CỦA THUẬT TOÁN
Để anh em dễ giảng giải cho cấp dưới hoặc học viên, hãy nhìn vào bản chất luồng đi của gói tin khi Host1 và Host2 đồng thời truy cập Web1 Server:
- Host1 (192.168.123.1) gửi gói tin đến Web1 với Port nguồn ngẫu nhiên là TCP 1024.
- Host2 (192.168.123.2) cũng tình cờ gửi gói tin đến Web1 với Port nguồn trùng hợp là TCP 1024.
Khi hai gói tin này đi qua Router NAT ra ngoài Internet thông qua cách cấu hình số 1, Router sẽ thực hiện "thao túng" như sau:
- Gói tin của Host1 được đổi IP nguồn thành IP Public 192.168.23.2 và giữ nguyên Port nguồn là 1024.
- Gói tin của Host2 cũng được đổi IP nguồn thành IP Public 192.168.23.2. Tuy nhiên, vì Port 1024 đã bị Host1 chiếm dụng trước đó, Router NAT sẽ chủ động tăng số hiệu cổng lên và gán cho Host2 một Port nguồn mới là 1025.
Nhờ cơ chế theo dõi Port độc lập này, khi Web1 Server phản hồi dữ liệu về cho IP 192.168.23.2, Router NAT chỉ cần nhìn vào số Port đích (1024 hay 1025) để trả gói tin về chính xác cho Host1 hoặc Host2 bên trong mạng LAN mà không bao giờ bị nhầm lẫn dữ liệu!
4. XÁC MINH VÀ GIÁM SÁT BẢNG TUẦN TRA NAT (VERIFICATION)
Sau khi Host1 và Host2 thực hiện lệnh ping hoặc truy cập dịch vụ thành công tới Web1 Server, chúng ta thực hiện kiểm tra bảng biên dịch trên Router NAT bằng câu lệnh:
NAT# show ip nat translations
Phân tích kết quả hiển thị từ bảng dịch thực tế: Màn hình sẽ đổ ra các dòng trạng thái biên dịch chi tiết. Khác hoàn toàn với Static hay Dynamic NAT thông thường, các dòng hiển thị của PAT luôn đính kèm số hiệu cổng phía sau dấu hai chấm (:). Bạn sẽ thấy rõ các trường thông tin:
- Inside local: Địa chỉ IP và Port gốc của máy trạm (Ví dụ: 192.168.123.1:1024).
- Inside global: Địa chỉ IP Public đại diện và số Port đã được Router biên dịch để đi ra ngoài (Ví dụ: 192.168.23.2:1024 hoặc 192.168.23.2:1025).
Sự xuất hiện của các cặp định danh IP:Port khác nhau trên cùng một địa chỉ Inside Global chính là minh chứng đanh thép cho thấy PAT đang vận hành hoàn hảo, giúp tối ưu hóa tài nguyên mạng của bạn.
🌟 LỜI KHUYÊN
Từ khóa overload chính là câu lệnh quyền lực nhất biến một cấu hình Dynamic NAT thông thường trở thành PAT nâng cao. Trong thực tế triển khai, hãy luôn ưu tiên Cách 1 (Sử dụng trực tiếp interface cổng WAN) vì nó giúp cấu hình của bạn không bị lỗi kể cả khi nhà mạng ISP thay đổi IP Public của cổng theo chu kỳ.
#VnPro#CCNA#CCNP#CCIE#PAT#PortAddressTranslation#NATOverload#CiscoIOS#NetworkServices#TrafficEngineering#RoutingAndSwitching
Attached Files